前言:想要寫出一篇引人入勝的文章?我們特意為您整理了寬帶用戶認(rèn)證系統(tǒng)的建構(gòu)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
系統(tǒng)功能模塊
1全業(yè)務(wù)接口
全業(yè)務(wù)接口包括:業(yè)務(wù)受理接口、業(yè)務(wù)查詢接口、數(shù)據(jù)同步接口、FTP文件上傳接口。全業(yè)務(wù)接口架構(gòu)如圖2所示。業(yè)務(wù)受理/查詢接口為“第三方系統(tǒng)”主動(dòng)發(fā)出請(qǐng)求的通信過程,可根據(jù)接口雙方約定,提供Socket、http、webservice等方式的接口數(shù)據(jù)請(qǐng)求支持。接口業(yè)務(wù)內(nèi)容包括:新戶注冊(cè)、資料變更、賬號(hào)開通、賬號(hào)報(bào)停、賬號(hào)復(fù)通、套餐變更、賬號(hào)銷戶、預(yù)約報(bào)停、預(yù)約套餐、費(fèi)用預(yù)繳、余額重置、欠費(fèi)銷賬、欠費(fèi)壞賬、強(qiáng)制離線等。數(shù)據(jù)同步接口支持socket方式主動(dòng)通知“第三方系統(tǒng)”;“第三方系統(tǒng)”的SocketServer收到通知后,再通過其Client端發(fā)出業(yè)務(wù)查詢接口請(qǐng)求,取回需同步數(shù)據(jù)。接口內(nèi)容包括:套餐列表、區(qū)域列表、帶寬列表、資費(fèi)列表、系統(tǒng)停機(jī)賬號(hào)等。FTP文件上傳接口支持FTP方式,將結(jié)算賬單、賬號(hào)上網(wǎng)詳單、接口雙方約定的其它數(shù)據(jù)定期上傳到“第三方系統(tǒng)”的FTP服務(wù)器;定時(shí)將生成的上網(wǎng)計(jì)費(fèi)賬單(登錄記錄)格式化成文本文件,上傳到“第三方”提供的ftp服務(wù)器,供“第三方”接口模塊讀取。統(tǒng)一身份認(rèn)證接口實(shí)現(xiàn)單點(diǎn)登陸、多點(diǎn)認(rèn)證,統(tǒng)一身份賬號(hào)數(shù)據(jù)源;認(rèn)證過程可實(shí)現(xiàn)系統(tǒng)間賬號(hào)資源自動(dòng)同步,減少人工操作環(huán)節(jié);支持多種接口方式,靈活滿足運(yùn)營商不同發(fā)展階段的需要。實(shí)時(shí)在線用戶信息接口實(shí)現(xiàn)實(shí)時(shí)在線用戶信息查詢;手動(dòng)強(qiáng)制在線用戶離線;查看用戶的使用記錄;統(tǒng)計(jì)在線人數(shù)、TCP連接、UDP連接曲線、流量曲線等。
2RADIUS認(rèn)證
RADIUSSERVER是寬帶用戶認(rèn)證系統(tǒng)的核心組件,提供集中的用戶驗(yàn)證和接入策略管理,使運(yùn)營商能夠控制用戶對(duì)其網(wǎng)絡(luò)的接入和使用,防止非法用戶接入,在用戶連接網(wǎng)絡(luò)前確保他們遵從安全策略,為每位用戶分配適當(dāng)?shù)慕尤爰?jí)別,為計(jì)費(fèi)/跟蹤系統(tǒng)提供記賬記錄。支持各式802.1X安全認(rèn)證協(xié)議,支持標(biāo)準(zhǔn)RADIUS協(xié)議,符合RFC2865、RFC2866、RFC3576協(xié)議,完整支持DHCP認(rèn)證、IPoE認(rèn)證、PP-PoE認(rèn)證流程;針對(duì)BRAS(BroadbandRemoteAccessServer,寬帶接入服務(wù)器)等接入設(shè)備斷電或故障重啟情況,提供在線用戶防掛起設(shè)計(jì);檢測(cè)BRAS等接入設(shè)備重啟后清空在線用戶,防止用戶認(rèn)證失效。
3用戶管理
用戶管理支持靈活多樣的業(yè)務(wù)處理方式:實(shí)時(shí)業(yè)務(wù)辦理、預(yù)約業(yè)務(wù)受理、批量業(yè)務(wù)處理等。業(yè)務(wù)類型完善,包括:開戶、開通、收費(fèi)、報(bào)停、復(fù)通、變更套餐、修改資料、銷戶等。支持豐富的調(diào)賬功能、完善的單條件及組合條件查詢統(tǒng)計(jì)等??勺匪菰敿?xì)的業(yè)務(wù)受理日志、繳費(fèi)記錄、結(jié)算記錄、上下網(wǎng)詳單等。支持個(gè)人用戶與專線用戶管理,支持靈活的個(gè)人帶寬管理,可支持對(duì)MAC、IP、VLAN、登錄數(shù)等網(wǎng)絡(luò)屬性的綁定,也可根據(jù)網(wǎng)絡(luò)接入?yún)?shù)實(shí)現(xiàn)后臺(tái)自動(dòng)綁定。
4用戶自助服務(wù)
自助服務(wù)系統(tǒng)支持豐富的自助查詢與自助業(yè)務(wù)辦理功能,自助系統(tǒng)開放的功能可以在后臺(tái)管理界面上由系統(tǒng)管理員統(tǒng)一配置,比如允許開放的自助查詢業(yè)務(wù)、自助變更套餐、停/開機(jī)等。此外,還可以靈活配置允許自助維護(hù)用戶資料的選項(xiàng),比如哪些用戶資料允許變更、哪些允許一次性變更等。
5統(tǒng)計(jì)分析報(bào)表
系統(tǒng)提供的查詢報(bào)表功能豐富,分別基于用戶、賬務(wù)、操作人員、套餐組、運(yùn)營、詳單等作為側(cè)重點(diǎn),為系統(tǒng)的各部門人員提供其所關(guān)注的報(bào)表數(shù)據(jù)。支持豐富的單條件、多條件組合、復(fù)雜條件嵌套作為生成報(bào)表數(shù)據(jù)的篩選范圍。
6系統(tǒng)權(quán)限管理
寬帶用戶認(rèn)證系統(tǒng)支持完善的角色權(quán)限管理。角色信息可以配置工號(hào)、姓名、別名,可以分別用其中之一登錄系統(tǒng)??梢耘渲孟到y(tǒng)使用者是否能多點(diǎn)登錄系統(tǒng)及源地址范圍綁定等。
系統(tǒng)方案實(shí)施
1系統(tǒng)組成和運(yùn)行環(huán)境
寬帶用戶認(rèn)證系統(tǒng)的關(guān)鍵業(yè)務(wù)系統(tǒng)包括:(1)ORACLE(10g)數(shù)據(jù)庫服務(wù)器,用于存儲(chǔ)系統(tǒng)所有業(yè)務(wù)數(shù)據(jù)和配置參數(shù);(2)守護(hù)進(jìn)程服務(wù)器,用于數(shù)據(jù)庫服務(wù)器與BRAS進(jìn)行數(shù)據(jù)交換與數(shù)據(jù)更新;(3)用戶自服務(wù)(WEB)服務(wù)器,供用戶在線查詢或自服務(wù)的服務(wù)器系統(tǒng);(4)訪問記錄服務(wù)器,用于記錄用戶上網(wǎng)訪問記錄的服務(wù)器。系統(tǒng)部署如圖3所示。
2系統(tǒng)高可用設(shè)計(jì)
認(rèn)證系統(tǒng)作為整個(gè)運(yùn)營系統(tǒng)的數(shù)據(jù)及營帳中心,部署在核心機(jī)房的服務(wù)器區(qū)域??紤]到整體系統(tǒng)的高可用性,將Oracle數(shù)據(jù)庫及守護(hù)進(jìn)程服務(wù)器(負(fù)責(zé)同步RADIUS服務(wù)器與數(shù)據(jù)庫信息)部署為雙機(jī)熱備模式。在系統(tǒng)中,RADIUSSERVER與后臺(tái)數(shù)據(jù)庫的數(shù)據(jù)同步與更新,是通過守護(hù)進(jìn)程服務(wù)器實(shí)現(xiàn)的。RADIUSSERVER設(shè)備本身配有大容量的FLASHROM,RADIUSSERVER本身能保存用戶話單和用戶資料,在與后臺(tái)(守護(hù)進(jìn)程服務(wù)器)中斷后,RADIUSSERVER仍能對(duì)中斷前已開通的用戶提供完整的接入、認(rèn)證、計(jì)費(fèi)和控制功能;中斷過程中,對(duì)于正在正常使用的用戶不產(chǎn)生任何影響。
3數(shù)據(jù)庫服務(wù)器與數(shù)據(jù)存儲(chǔ)的高可用性
采用數(shù)據(jù)庫服務(wù)器雙機(jī)熱備+磁盤陣列的方案,實(shí)現(xiàn)數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器的高可用性。
4寬帶用戶認(rèn)證系統(tǒng)技術(shù)方案
方案實(shí)施網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。(1)RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務(wù)器、用戶自服務(wù)服務(wù)器由城市熱點(diǎn)提供。RADIUS-1、RADIUS-2兩臺(tái)服務(wù)器作為RADIUSSERVER,用戶自服務(wù)服務(wù)器和終端用戶之間需要路由可達(dá)。這部分需要三個(gè)公網(wǎng)IP地址:radius-1配置IP-W1,radius-2配置IP-W2,用戶自服務(wù)服務(wù)器配置IP-W3。(2)管理部分只需保證RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務(wù)器、用戶自服務(wù)服務(wù)器及管理終端相互連通。為節(jié)省公網(wǎng)地址資源和安全性考慮,采用私網(wǎng)IP地址:RADIUS-1配置IP-L3,RADIUS-2配置IP-L4,數(shù)據(jù)庫服務(wù)器配置IP-L1,用戶自服務(wù)服務(wù)器配置IP-L2。(3)數(shù)據(jù)庫服務(wù)器采用centos5.6操作系統(tǒng),安裝ORACLE(10g)forlinux。(4)管理終端通過B/S界面進(jìn)行用戶管理、查詢、統(tǒng)計(jì)。B/S結(jié)構(gòu)(Browser/Server,瀏覽器/服務(wù)器模式),是WEB興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式,WEB瀏覽器是客戶端最主要的應(yīng)用軟件。這種模式統(tǒng)一了客戶端,將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上,簡(jiǎn)化了系統(tǒng)的開發(fā)、維護(hù)和使用。(5)RADIUS與BRAS通訊通過千兆光口。與數(shù)據(jù)庫服務(wù)器通訊端口采用千兆電口。數(shù)據(jù)庫服務(wù)器、用戶自服務(wù)服務(wù)器所有通訊端口皆為千兆電口。安全配置及附屬設(shè)備說明如下。(1)RADIUS-1、RADIUS-2、數(shù)據(jù)庫服務(wù)器、用戶自服務(wù)服務(wù)器及管理終端通過千兆電換機(jī)相互連接。(2)管理終端需訪問數(shù)據(jù)庫服務(wù)器IP-L1所在端口的80端口和SSH端口,目前啟用了Iptables。(3)管理終端需訪問用戶自服務(wù)服務(wù)器IP-L2所在端口的SSH端口,目前啟用了Iptables。(4)管理終端需訪問RADIUS-1、RADIUS-2的IP-L3、IP-L4所在端口的SSH和telnet。(5)管理網(wǎng)安全措施由三部分組成:服務(wù)器啟用IPtables,B/S操作頁面登陸需要賬號(hào)密碼,可以控制登錄B/S操作頁面的管理終端的IP范圍。(6)終端用戶需訪問用戶自服務(wù)服務(wù)器IP-W3所在端口的80端口,目前啟用了Iptables。(7)RADIUS-1、RADIUS-2的IP-L3、IP-L4只需同BRAS通信,目前啟用了Iptables。(8)RADIUS-1、RADIUS-2只需同BRAS通信,在前端相關(guān)防護(hù)設(shè)備上做ACL(AccessControlList,訪問控制列表)策略,禁止其他IP地址訪問。
結(jié)束語
目前寬帶用戶認(rèn)證系統(tǒng)平臺(tái)已經(jīng)構(gòu)建完成并入網(wǎng),實(shí)現(xiàn)了RADIUS認(rèn)證平臺(tái)功能。經(jīng)過詳細(xì)測(cè)試發(fā)現(xiàn),認(rèn)證服務(wù)器的處理能力決定著性能,認(rèn)證服務(wù)器滿足不少于20個(gè)認(rèn)證/秒的處理能力,時(shí)延不大于5000ms。隨著業(yè)務(wù)的發(fā)展,RADIUS認(rèn)證平臺(tái)系統(tǒng)由于具備靈活的擴(kuò)展設(shè)計(jì),能夠根據(jù)用戶量以及網(wǎng)絡(luò)規(guī)模做相應(yīng)的擴(kuò)展。(本文作者:朱建斌 單位:中國移動(dòng)山東公司泰安分公司)